Compartilhar via


Caçar rapidamente informações de entidade ou evento com a caça de ir

Aplica-se a:

  • Microsoft Defender XDR

Com a ação go hunt , você pode investigar rapidamente eventos e vários tipos de entidade usando recursos avançados avançados de caça baseados em consulta. Essa ação executa automaticamente uma consulta de caça avançada para encontrar informações relevantes sobre o evento ou entidade selecionado.

A ação go hunt está disponível em várias seções de Microsoft Defender XDR. Essa ação está disponível para exibir depois que os detalhes do evento ou da entidade forem exibidos. Por exemplo, você pode usar a opção go hunt nas seguintes seções:

  • Na página de incidentes, você pode examinar detalhes sobre usuários, dispositivos e muitas outras entidades associadas a um incidente. À medida que você seleciona uma entidade, você obtém informações adicionais e as várias ações que você pode tomar sobre essa entidade. No exemplo abaixo, uma caixa de correio é selecionada, mostrando detalhes sobre a caixa de correio e a opção de procurar mais informações sobre a caixa de correio.

    A página Caixas de correio com a opção Ir caçar no portal Microsoft Defender

  • Na página de incidentes, você também pode acessar uma lista de entidades na guia Evidências . Selecionar uma dessas entidades fornece uma opção para procurar rapidamente informações sobre essa entidade.

    A opção Ir hunt para uma evidência na página Incidente no portal Microsoft Defender

  • Ao exibir o linha do tempo de um dispositivo, você pode selecionar um evento no linha do tempo para exibir informações adicionais sobre esse evento. Depois que um evento é selecionado, você obtém a opção de caçar outros eventos relevantes na caça avançada.

    A opção Caçar eventos relacionados na página de um evento na guia Linhas do Tempo no portal Microsoft Defender

Selecionar Ir caçar ou caçar eventos relacionados passa por consultas diferentes, dependendo se você selecionou uma entidade ou um evento.

Consulta para informações de entidade

Você pode usar o go hunt para consultar informações sobre um usuário, dispositivo ou qualquer outro tipo de entidade; a consulta verifica todas as tabelas de esquema relevantes para quaisquer eventos que envolvam essa entidade para retornar informações. Para manter os resultados gerenciáveis, a consulta é:

  • escopo para cerca do mesmo período de tempo que a atividade mais antiga nos últimos 30 dias que envolve a entidade
  • associado ao incidente.

Aqui está um exemplo da consulta de caça de go para um dispositivo:

let selectedTimestamp = datetime(2020-06-02T02:06:47.1167157Z);
let deviceName = "fv-az770.example.com";
let deviceId = "device-guid";
search in (DeviceLogonEvents, DeviceProcessEvents, DeviceNetworkEvents, DeviceFileEvents, DeviceRegistryEvents, DeviceImageLoadEvents, DeviceEvents, DeviceImageLoadEvents, IdentityLogonEvents, IdentityQueryEvents)
Timestamp between ((selectedTimestamp - 1h) .. (selectedTimestamp + 1h))
and DeviceName == deviceName
// or RemoteDeviceName == deviceName
// or DeviceId == deviceId
| take 100

Tipos de entidade com suporte

Você pode usar a opção go hunt depois de selecionar qualquer um desses tipos de entidade:

  • Dispositivos
  • Email clusters
  • Emails
  • Arquivos
  • Grupos
  • Endereços IP
  • Caixas de correio
  • Usuários
  • URLs

Consulta para obter informações de evento

Ao usar o go hunt para consultar informações sobre um evento linha do tempo, a consulta verifica todas as tabelas de esquema relevantes para outros eventos na hora do evento selecionado. Por exemplo, a consulta a seguir lista eventos em várias tabelas de esquema que ocorreram no mesmo período de tempo no mesmo dispositivo:

// List relevant events 30 minutes before and after selected LogonAttempted event
let selectedEventTimestamp = datetime(2020-06-04T01:29:09.2496688Z);
search in (DeviceFileEvents, DeviceProcessEvents, DeviceEvents, DeviceRegistryEvents, DeviceNetworkEvents, DeviceImageLoadEvents, DeviceLogonEvents)
    Timestamp between ((selectedEventTimestamp - 30m) .. (selectedEventTimestamp + 30m))
    and DeviceId == "079ecf9c5798d249128817619606c1c47369eb3e"
| sort by Timestamp desc
| extend Relevance = iff(Timestamp == selectedEventTimestamp, "Selected event", iff(Timestamp < selectedEventTimestamp, "Earlier event", "Later event"))
| project-reorder Relevance

Ajustar a consulta

Com algum conhecimento da linguagem de consulta, você pode ajustar a consulta à sua preferência. Por exemplo, você pode ajustar essa linha, que determina o tamanho da janela de tempo:

Timestamp between ((selectedTimestamp - 1h) .. (selectedTimestamp + 1h))

Além de modificar a consulta para obter resultados mais relevantes, você também pode:

Observação

Algumas tabelas neste artigo podem não estar disponíveis no Microsoft Defender para Ponto de Extremidade. Ative Microsoft Defender XDR para procurar ameaças usando mais fontes de dados. Você pode mover seus fluxos de trabalho avançados de caça de Microsoft Defender para Ponto de Extremidade para Microsoft Defender XDR seguindo as etapas em Migrar consultas avançadas de caça Microsoft Defender para Ponto de Extremidade.

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.